CSIRT

CSIRT

 

1. SOBRE ESTE DOCUMENTO
1.1.    ÚLTIMA ACTUALIZACIÓN
Versión 1.0, publicada el 30 de diciembre de 2018.

 

1.2. LISTA DE DISTRIBUCIÓN PARA NOTIFICACIONES
Para la realización de notificaciones de incidentes, eventos de seguridad y relacionados, se lo puede realizar a través de nuestra lista de distribución csirt@telconet.ec. Las solicitudes de suscripción deben ser enviadas a: csirt @telconet.ec, el cuerpo del mensaje debe contener la palabra Subscribe.

 

1.3. LUGARES DONDE ESTE DOCUMENTO PUEDE SER ENCONTRADO.
La versión actualizada de este documento de descripción de CSIRT- Telconet puede ser obtenida en la web: https://csirt.telconet.ec/rfc2350

 

2. INFORMACIÓN DE CONTACTO
2.1.    NOMBRE DEL EQUIPO
Nuestro CSIRT responde al nombre de CSIRT Telconet o Centro de Respuesta a Incidentes de Ciberseguridad de Telconet

 

2.2. DIRECCIÓN
CSIRT Telconet
Dir. Av. Perimetral Km 30.5 y Av. Leopoldo Carrera Calvo
Telconet CloudCenter GYE
Guayaquil - Ecuador
Ecuador

 

2.3. ZONA HORARIA
América/Guayaquil (GMT-5)

 

2.4. TELÉFONO
(593)-9-8336-6730
(593)-9-8336-6800

 

2.5. FAX
No disponible

 

2.6. OTROS MEDIOS DE COMUNICACIÓN
No disponible.

 

2.7. CORREO ELECTRÓNICO
csirt@telconet.ec. Este es la dirección de correo electrónico que es atentido por nuestro CSIRT en modalidad 24x7.

 

2.8. CLAVES PÚBLICAS
El CSIRT Telconet tiene la siguiente clave PGP: 52BBB06B
Esta clave y firma pueden ser encontradas en servidores de claves públicos y puede ser utilizada para enviarnos correos electrónicos confidenciales a csirt@telconet.ec.

 

2.9. MIEMBROS DEL EQUIPO
 

Coordinador:
   Zully Espinoza
 
Nivel 1 (Gestión de Incidentes)
     Nury Cornejo
     Jennifer Figueroa
     Michelle Yager
     Paolo Lara
     José Banchón
  
Nivel 2 (Análisis de Incidentes)
     Carlos Valle
     Juan Mera
     Ronald Sáenz
     Ramón Carrillo

 

2.10. OTRA INFORMACIÓN
Información adicional sobre el CSIRT Telconet puede ser encontrada en https://csirt.telconet.ec

 

2.11. FORMAS DE CONTACTO
El método preferido de contacto es vía correo electrónico: csirt@telconet.ec; los emails enviados a esta dirección llegarán a los responsables del CSIRT Telconet de forma inmediata. Si usted requiere de asistencia urgente escriba “urgente” en el asunto del correo. Si no es posible o no es recomendable utilizar el correo electrónico, el CSIRT Telconet puede ser alcanzado vía telefónica durante la jornada laboral. Las horas de operación del CSIRT Telconet son de Lunes a Viernes de 9AM a 6PM. De ser posible, cuando vaya a enviar un reporte, utilice el formulario descrito en el punto 6.

 

3. CHARTER
3.1.    PROPÓSITO Y MISIÓN
El propósito del CSIRT Telconet es:
• Apoyar a los miembros de la comunidad, empresas del grupo Telconet y clientes, a implementar medidas proactivas con el objetivo de reducir los riesgos de incidentes de seguridad informáticos.
• Apoyar a la comunidad, empresas del grupo Telconet y clientes a responder a estos incidentes cuando ocurran. La misión del equipo de CSIRT es: Proporcionar un servicio de respuesta sistemática a los incidentes de ciberseguridad apoyando empresas del grupo Telconet, clientes y entidades de control nacionales para recuperarse eficaz y eficientemente de los incidentes de seguridad, a través del uso de la mejor tecnología disponible, y el intercambio de conocimiento y sensibilización en seguridad de las tecnologías de información y comunicación.

3.2. MIEMBROS
Los miembros del CSIRT Telconet son quienes conforman las empresas del grupo Telconet y clientes.

 

3.3. AUSPICIOS Y AFILIACIONES
El CSIRT Telconet está auspiciado por el grupo Telconet. Está afiliado a instituciones internacionales con el objetivo de colaborar y apoyar en la respuesta a incidentes de seguridad informáticos.

 

3.4. AUTORIDAD
El CSIRT Telconet opera bajo el auspicio y es delegado por el Gerente de Seguridad Lógica de Telconet. Para información adicional sobre la autoridad del CSIRT Telconet, contactar al Coordinador del CSOC de Telconet.
 
El CSIRT Telconet intenta cooperar con los administradores de sistema y clientes del grupo Telconet y, dentro de lo posible, evitar relaciones de autoridad o formación de cadenas de ordeno y mando. Sin embargo en caso de ameritar la situación, CSIRT Telconet buscará que las autoridades de las redes ejerzan su autoridad de forma directa o indirecta. Los miembros de la comunidad del CSIRT Telconet que requieran apelar las acciones del mismo pueden contactar al Coordinador del CSIRT (zespinoza@telconet.ec).

 

4. POLÍTICAS
4.1. TIPOS DE INCIDENTES Y NIVELES DE SOPORTE
CSIRT Telconet se ocupa de recibir, atender y procesar los eventos de seguridad que ocurran en las empresas del grupo Telconet y sus clientes. Los niveles de soporte del CSIRT Telconet, variarán en dependencia del tipo y severidad del incidente o problema presentado, el tipo de miembro, el tamaño de la comunidad afectada y los recursos del CSIRT Telconet en el momento de ocurrido el evento, en todos los casos la respuesta se dará en el plazo de un día laborable. Los recursos serán asignados de acuerdo a las siguientes prioridades listadas en orden decreciente:

• Amenazas a la seguridad física de seres humanos
• Ataques a los sistemas de manejo de información de las soluciones provistas a las empresas del grupo Telconet y clientes o a cualquier parte de la infraestructura de red del grupo Telconet.
• Ataques a cualquier gran equipo de servicio público, sea multiusuario o con propósito dedicado, como apoyo a la Ciberdefensa.
• Ataques al sector financiero que puedan afectar masivamente a usuarios.
• Compromiso de información en cuentas restringidas confidenciales o instalaciones de software, en particular aquellas usadas para sistemas de administración que contengan información confidencial, o aquellos usuarios para administración del sistema.
• Ataques de negación de servicio volumétrico.
• Cualquiera de los anteriores ataques originados desde el CSIRT Telconet.
• Ataques en gran escala de cualquier tipo.
• Amenazas, acoso y cualquier otra ofensa criminal en el que estén involucradas cuentas de usuario.
• Compromiso de cuentas de usuarios individuales en sistemas multiusuarios.
• Compromiso de sistemas de escritorio.
• Falsificación y suplantación y cualquier otra violación de reglas locales y regulaciones.
• Negación de servicio en cuentas de usuario individuales.

Los incidentes no descritos anteriormente serán priorizados de acuerdo a la percepción de severidad y alcance de estos, se espera que la información escalada sea revisada por el usuario con su equipo de soporte técnico interno.

 

CSIRT Telconet comprende que existen diferencias en las experiencias que el personal de administración de las redes tienen, y mientras el CSIRT Telconet tratará de presentar la información y proveer asistencia a un nivel apropiado para cada persona, el CSIRT Telconet realizará acciones bajo el alcance de servicios contratados o situaciones excepcionales escaladas. En la mayoría de los casos el CSIRT Telconet proveerá indicaciones e información que posiblemente requieran para tomar las medidas apropiadas para solucionar sus problemas. El CSIRT Telconet busca mantener una comunidad de administradores informada de vulnerabilidades potenciales y dentro de lo posible informarle a la comunidad de la existencia de estas vulnerabilidades antes de que sean activamente explotadas.

 

4.2. COOPERACIÓN, INTERACCIÓN Y PUBLICACIÓN DE INFORMACIÓN
Además de restricciones legales y éticas sobre el flujo de información del CSIRT Telconet, reconocemos la intención de contribuir al espíritu de cooperación que se ha creado en Internet. Por tanto, mientras se toman las medidas apropiadas para proteger la identidad de los usuarios miembros de las empresas del grupo Telconet y clientes, el CSIRT Telconet compartirá la información con la finalidad de apoyar a otras redes a resolver o prevenir incidentes de seguridad.
Con esto nos referimos a usuarios legítimos, operadores y usuarios de redes.
 
Cualquier información que pueda ser considerada para ser publicada será clasificada de la siguiente forma:
 
Información de un usuario privado: es información sobre un usuario particular, o en algunos casos, aplicaciones particulares, que puedan ser consideradas confidenciales con fines legales, contractuales y/o razones éticas. La información de usuarios privados no será publicada en formato identificable fuera del CSIRT Telconet. La identidad del usuario será modificada para que no pueda ser identificada Por ejemplo para mostrar un archivo .bashrc modificado por un intruso, o para mostrar un ataque particular de ingeniería social.
La información sobre el intruso es similar a la información de un usuario privado.
Mientras la información de un intruso, y en particular información que le pueda identificar, no será publicada (excepto que sea requerido por cuestiones judiciales o legales) esta será compartida con administradores de sistemas y sistemas de manejo de incidentes de los CSIRTs con que existan relaciones.
Información privada de un sitio: esta es información técnica sobre sistemas en particulares o sitios.
• Esta no será publicada sin el permiso del sitio en cuestión.
Información sobre la vulnerabilidad: es información técnica sobre ataques o vulnerabilidades, incluidas arreglos o mitigaciones.Esta información será publicada de manera privada primeramente al afectado, posteriormente a la comunidad y finalmente al fabricante.
Información que puede causar vergüenza: es aquella que pueda hacer ver que un incidente ha ocurrido e información sobre su extensión o severidad. Esta información puede preocupar a un sitio o usuario particular o grupos de usuarios. Esta información no será publicada sin permiso del sitio o usuarios en cuestión.
Información estadística con información de identificación eliminada: Esta información será publicada de ser requerido por el CSIRT Telconet. Información de contacto que explica cómo alcanzar a administradores del sistema y CSIRTs. Será publicada libremente, excepto cuando la persona de contacto o entidad hayan solicitado que no sea el caso, o cuando el CSIRT Telconet tenga razones para creer que la diseminación de esta información puede no ser deseada.

 
Los receptores de información potenciales del CSIRT Telconet serán clasificados de la siguiente forma:

• Por la naturaleza de sus responsabilidades y razones de confidencialidad, los miembros de las redes miembros del CSIRT Telconet recibirán cualquier información sea necesaria para facilitar el manejo de incidentes de seguridad informática que ocurran en sus jurisdicciones.
• El coordinador del CSOC de Telconet podrá recibir cualquier información que soliciten respecto a incidentes de seguridad o asuntos relacionados que hayan sido enviados a ellos para su solución. Lo mismo aplica para el directorio de Telconet cuando su asistencia sea necesaria para solucionar quejas, reclamos o problemas presentados.
• Los administradores de las redes miembros del CSIRT Telconet, recibirán solamente información necesaria para solucionar problemas que se presenten durante la investigación de un incidente o para asegurar sus redes, servidores y sistemas.
• Los usuarios de las redes de las empresas del grupo Telconet y clientes, recibirán información relacionada con sus propias cuentas de computadora, aun cuando esto significa revelar información sobre el intruso, o información vergonzosa sobre otro usuario. Por ejemplo si la cuenta aaaa es crackeada y el intruso ataque la cuenta bbbb, el usuario bbbb tiene derecho a conocer que aaaa fue crackeada y cómo el ataque sobre su cuenta bbbb fue ejecutado. El usuario bbbb además podrá conocer, si lo solicita, información sobre la cuenta aaaa que le permita investigar el ataque. Por ejemplo si bbbb fue atacado por alguien remotamente conectado a aaaa, bbbb debe poder conocer el origen de las conexiones a aaaa aún cuando esta información podría ser considerada privada por aaaa. Los usuarios de las redes miembros del CSIRT Telconet deben poder conocer si sus cuentas han sido comprometidas.
• La comunidad del CSIRT Telconet recibirá información no restringida, excepto cuando las partes afectadas hayan dado permiso para que la información pueda ser diseminada. Información estadística puede ser publicada al público en general. No existe obligación de parte del CSIRT Telconet de reportar incidentes a la comunidad, aunque puede optar por así hacerlo; en particular es posible que el CSIRT Telconet informe a las partes afectadas de las formas en que ellos fueron afectados o intente motivar al sitio afectado a así hacerlo.
• El público en general recibirá información no restringida. De hecho no se hará esfuerzo en particular para comunicarse con el público en general, aunque el CSIRT Telconet reconoce que a todos los efectos y propósitos, la información disponible en las empresas del grupo Telconet y clientes, está en efecto disponible para el público en general y por tanto estará publicada de forma tal que tenga en cuenta esto.
• La comunidad de seguridad informática será tratada de la misma forma que el público en general es tratado. Mientras miembros del CSIRT Telconet podrán participar en discusiones dentro de la comunidad de seguridad informática, tales como forums, listas de correos, conferencias, talleres, ellos tratarán estos foros como sitios donde existe público en general. Mientras problemas técnicos (incluidas vulnerabilidades) pueden ser discutidos en cualquier nivel de detalle, ejemplos tomados del CSIRT Telconet serán modificados para no publicar información del usuario o sitios afectados.
• La prensa será considerada igualmente parte del público en general. El CSIRT Telconet no interactuará directamente con la prensa respecto a respuesta a incidentes, excepto para mostrarles información que ya ha sido publicada al público en general. De ser necesario, se referirán al área de relaciones públicas de Telconet. Todas las preguntas relacionadas con incidentes serán referidas a esta área. Lo anterior no afecta la capacidad de los miembros del CSIRT Telconet para ofrecer entrevistas en tópicos de seguridad generales; de hecho se sugiere así se haga como un servicio a la comunidad.
• Otros sitios y CSIRTs, cuando están involucrados en la investigación de incidentes de seguridad, podrán ser provistos con información confidencial. Esto solamente ocurrirá si se puede verificar que el otro sitio actúa de buena fe y que la información transmitida será limitada a aquella necesaria para ayudar a resolver un incidente. • Para propósitos de resolver incidentes de seguridad, información semi-privada o información inocua sobre el usuario tales como origen de conexiones no serán consideradas información altamente sensitiva, y podrá ser enviada a un sitio remoto sin requerirse de demasiadas precauciones. Información sobre los intrusos serán transmitidas libremente a otros administradores de sistemas o CSIRTs. Información vergonzosa podrá ser transmitida si existe convencimiento de que permanecerá confidencial y que es necesaria para resolver un incidente.
• Fabricantes serán considerados como CSIRTs remotos para la mayoría de los contactos. El CSIRT Telconet desea apoyar a los fabricantes de todo tipo de equipamiento de red y computación, software y servicios a mejorar la seguridad en sus productos. Con esta finalidad, una vulnerabilidad descubierta en algún producto será reportada a su fabricante, así como los detalles técnicos necesarios para identificar y arreglar el problema. Detalles que permitan identificar al usuario no serán provistas al vendedor sin el permiso previo del usuario.
• Personal de entes de justicia o policiales recibirán total cooperación del CSIRT Telconet, incluida cualquier información que requieran por ley para realizar sus investigaciones de acuerdo con la Constitución y las leyes.

4.3. COMUNICACIÓN Y AUTENTICACIÓN

Puesto que se pueden utilizar varios medios para el intercambio de información con el CSIRT Telconet, los teléfonos serán considerados suficientemente seguros para ser usados de forma no encriptada. Emails no encriptados no serán considerados suficientemente seguros pero serán adecuados para la transmisión de información poco sensitiva. De ser necesario enviar información sensitiva se sugiere el uso de PGP para encriptar la información.

 

Transferencias a través de la red debe ser consideradas de la misma forma que el email, estas deben ser encriptadas en caso de ser sensitivas.

 

Cuando sea necesario establecer una relación de confianza, por ejemplo antes de enviar información dada al CSIRT Telconet, o antes de publicar información confidencial, la identidad y buena fe de la otra parte debe ser asegurada a un cierto nivel de confianza. Dentro de Telconet y con sitios de seguridad vecinos, referencias de personas confiables será suficiente para identificar a un tercero. Otros métodos apropiados serán usados, como búsqueda de miembros FIRST, el uso de WHOIS y otra información de registro de información, etc, además de uso de llamadas telefónicas y correo electrónico para asegurarnos que la contraparte no es un impostor. Emails entrantes cuyos datos deben se confiables serán revisados con el emisor de estos de forma personal o por medio del uso de firmas digitales.

 

5. SERVICIOS
5.1. RESPUESTA A INCIDENTES

 

CSIRT Telconet apoyará a los administradores en el manejo de aspectos técnicos y organizacionales de los incidentes. En particular proveerá asistencia o aviso referente a los siguientes aspectos del manejo de incidentes:

 

Servicios Proactivos
• Monitoreo de eventos de ciberseguridad 24X7 en tiempo real
• Dashboard para el monitoreo de eventos
• Repositorio de logs en la nube

 

Servicios Reactivos
• Detección y alerta temprana de amenazas
• Gestión de Incidentes de Seguridad
• Acompañamiento en mediación de incidentes
• Estrategias avanzadas de recuperación y defensa

 

Servicios de Consultoría
• Investigación avanzada sobre Incidentes de ciberseguridad
• Investigación forense sobre redes y servicios
• Investigación de eventos relacionados con ciberdelincuencia y ciberespionaje

 5.1.1. INVESTIGACIÓN INICIAL DE INCIDENTES

• Investigar si en efecto un incidente ha ocurrido.
• Determinar el alcance del incidente.

 5.1.2. COORDINACIÓN DE INCIDENTES

• Determinar la causa inicial del incidente (vulnerabilidad explotada)
• Facilitar contacto con otros sitios que pueden haber estado involucrados.
• Facilitar contacto con departamentos de seguridad de Telconet y/o entidades a cargo del manejo de investigaciones judiciales y legales.
• Crear reportes para otros CSIRTs.
• Preparar anuncios a usuarios, si aplicara.

5.1.3. RESOLUCIÓN DE INCIDENTES

 
• Eliminar la vulnerabilidad
• Apoyo en el aseguramiento de sistemas derivados de lo aprendido en el incidente.
• Evaluar si ciertas acciones pueden arrojar resultados en proporción con su costo y riesgo, en particular acciones dirigidas a un eventual proceso judicial o acción disciplinaria: recolección de evidencias luego del hecho, observación de un incidente en progreso, plantando trampas al intruso, etc.
• Recolectar evidencia cuando se contemplen acciones judiciales, policiales, o acción disciplinaria dentro de la organización donde ocurre el evento.

Además, CSIRT Telconet recolectará estadísticas referentes a incidentes que ocurran dentro de o esté involucrado uno o varios de los miembros del CSIRT Telconet, notificando a la comunidad de ser necesario para apoyar en la protección contra ataques conocidos.Para hacer uso de los servicios de respuesta a incidentes de CSIRT

Telconet por favor envíe un Email a las direcciones indicadas en el punto 2.11 arriba indicado. Por favor recuerde que la asistencia disponible dependerá de acuerdo a los parámetros definidos en 4.1.

 

5.2. ACTIVIDADES PROACTIVAS

 

CSIRT Telconet coordina y mantiene los siguientes servicios dentro de las posibilidades que sus recursos le permiten:


 
• Servicios de información
• Lista de contactos de seguridad de instituciones miembros de Telconet. Esta información puede ser consultada vía correo electrónico a la dirección indicada en el punto 2.1
• Listas de correo para informar a los contactos de instituciones miembro de información relevante a sus ambientes de seguridad. Estas listas estarán disponibles a los administradores de las redes de las instituciones miembro de Telconet.
• Servicio de resúmenes de noticias de diversos sitios de internet dedicados a la seguridad. Los resultados de este servicio se harán disponibles de forma pública o a través de las listas de acuerdo al nivel de sensibilidad de la información y urgencia.
• Servicios de entrenamiento.
• Los miembros del CSIRT Telconet participará en seminarios periódicos en tópicos relacionados con la seguridad; estos seminarios estarán abiertos a administradores de sistemas de las instituciones miembro de Telconet.
• Servicios de auditoría de seguridad. Estos servicios estarán disponibles solamente a los administradores de la red auditada
• Referencias de incidentes de seguridad serán mantenidos de forma confidencial, estadísticas periódicas serán puestas a disposición de la comunidad de Telconet. Descripciones detalladas de los servicios aquí indicados, además de instrucciones para unirse a listas de correo, descargas o participando en servicios como manejo centralizado de logs, estarán disponibles en el sitio web del CSIRT Telconet de acuerdo a la sección 2.10 arriba indicada.

 

 

6. FORMULARIO DE REPORTE DE INCIDENTES

 

Se cuenta con un formulario de reporte de incidentes que se lo puede encontrar en el siguiente enlace: https://telconet.net/csirt/reporte-incidente

 

7. AVISO LEGAL

 

Mientras se han tomado todas las precauciones en la preparación de información, notificaciones y alertas, el CSIRT Telconet no asume responsabilidad por errores, omisiones o daños resultantes de la información aquí contenida.

Holding Telconet

 

Galería Fotográfica

Síguenos en:

Facebook Telconet LATAM icon-rs-twitter icon-rs-instagram icon-rs-flickr icon-rs-linkedin icon-rs-youtube